23 апреля 2011 в 01:16

Телефон Android тоже следит…

Все, наверное, заметили шумиху последних дней вокруг «слежки» за пользователями iPhone. Ребята с O'Reilly, которые опубликовали информацию о пресловутом файле consolidated.db, сами удивлены, насколько большой резонанс история вызвала на телевидении и в других СМИ.

Но продолжение этой истории ещё более интересное. Вполне возможно, что разработчики iOS 4 внедрили эту функцию по примеру Android, но в силу криворукости непонятных причин реализовали её не совсем корректно.

Некий разработчик Магнус Эрикксон (Magnus Eriksson), услышав про скандал с айфонами, решил покопаться в кэше своего смартфона Android. И после некоторых изысканий обнаружил файлы cache.cell и cache.wifi, очень похожие на вышеупомянутый consolidated.db. Файлы находятся в папке /data/data/com.google.android.location/files.

Вот пример данных, которые там хранятся (тоже в незащищённом виде): Это координаты (долгота и широта), а также время и дата.

$ ./parse.py cache.cell 
db version:  1
total:       41

key               accuracy  conf.   latitude    longitude  time
240:5:15:983885       1186     75   57.704031   11.910801  04/11/11 20:03:14 +0200
240:5:15:983882        883     75   57.706322   11.911692  04/13/11 01:41:29 +0200
240:5:75:4915956       678     75   57.700175   11.976824  04/13/11 11:52:16 +0200
240:5:75:4915953       678     75   57.700064   11.976629  04/13/11 11:53:09 +0200
240:7:61954:58929     1406     75   57.710205   11.921849  04/15/11 19:46:31 +0200
240:7:15:58929          -1      0    0.000000    0.000000  04/15/11 19:46:32 +0200
240:5:75:4915832       831     75   57.690024   11.998419  04/15/11 16:13:53 +0200


Эрикксон написал программку, которая ищет и показывает данные с координатами из этих файлов. Можете установить и посмотреть на своём телефоне.

Однако, есть важное отличие в том, как эта функция работает на Android-устройствах.

// Maximum time (in millis) that a record is valid for, before it needs
// to be refreshed from the server.
private static final long MAX_CELL_REFRESH_RECORD_AGE = 12 * 60 * 60 * 1000; // 12 hours
private static final long MAX_WIFI_REFRESH_RECORD_AGE = 48 * 60 * 60 * 1000; // 48 hours

// Cache sizes
private static final int MAX_CELL_RECORDS = 50;
private static final int MAX_WIFI_RECORDS = 200;


Здесь максимальное количество хранимых данных ограничено 50 записями для сот и 200 записями для WiFi-точек, соответственно. Есть также ограничение по времени: 12 часов для сот и 48 часов для WiFi, тогда как у iPhone хранится полный архив месяцами (с момента установки iOS 4).

Как и в случае с iPhone, если абонент попал в зону действия соты, где уже был раньше, то старая информация заменяется новой. Кстати, по этой причине и «шпион» от iPhone не такой страшный, как показалось сначала. В большинстве случаев эти данные вообще не пригодны для составления истории перемещений пользователя, разве что только можно увидеть отдельные путешествия по уникальным маршрутам.

По мнению Эрикссона, данная фича работает в Android таким же образом, как и в iPhone: координаты вычисляются точно так же, по координатам ближайших сот, и, возможно, периодически отправляются в Apple/Google. Отличие в том, что Google аккуратно подошёл к защите данных, а разработчики из Apple, видимо, допустили обидный баг, не озаботившись условиями на уничтожение данных, и теперь расплачиваются за это кармой репутацией бренда. Очевидно, баг будет исправлен ближайшим патчем для iOS.
+19
4817
14
alizar 1796,0 G+

Комментарии (53)

+30
Nickel3000, #
Только Siemens C35 можно доверять. Никто не продает?
+2
Robotex, #
Он может сдать вас по триангуляции.
0
Nickel3000, #
Я имел ввиду, что сам телефон никакие данные не сохраняет. А со стороны оператора примерное местоположение чего угодно с активной симкой можно методом триангуляции вычислить.
+2
postdig, #
зато в C35 очень легко перешивать IMEI,
через компорт, многими прогами для анлока можно менять и имеи. Только найти такие проги не легче чем сам С35

PS: да, сочувствую тем у кого симки по пасспорту продаются.
–1
Coolfly, #
не забывайте про серийный номер передатчика, его не перешить, надо перепаивать.
0
Radmoses, #
Насколько я знаю, оператору не передаётся серийный номер передатчика. Только IMEI.
0
Coolfly, #
по gsm протоколу его можно запросить
НЛО прилетело и опубликовало эту надпись здесь
0
gionet, #
Купив сей девайс вы гарантированно потеряете интерес к персоне в лице гугла, но точно приобретете его у рядом едущих с вами пассажиров метро или электрички

Сам год назад ностальгии ради купил сей аппарат. При входящем звонке мелодия заставляла прослезиться граждан =)
–3
kastaneda, #
«прослезиться», «толпа лежала», «прохожие всхлипывали» — как же заебали эти копирки с баша
НЛО прилетело и опубликовало эту надпись здесь
0
hiro, #
Лежали всем офисом же
–1
guyfawkes, #
всем хабром
+1
Nesp, #
Только дисковые телефоны, только хардкор!
0
yvanko, #
тяжело зарядку найти(
0
Devil_Chrono, #
Доверять можно всем, при условии вытащенной сим-карты и отключенных GPS и Wi-Fi модулей.
0
orloffkirill, #
S45 был, батя расковырял его под экранчик для Arduino, еще ME45 был.
+31
RendeRR, #
Когда в Android'е ставишь галочку «использовать Wi-Fi и сотовые сети для определения местоположения», соглашаешься с (что-то вроде): «Разрешить службе определения местоположения Google собирать анонимные данные о местоположении».

+ Google локатор
+ интересный, в контексте статьи, раздел справки по этому сервису: конфиденциальность

Т.е. да, Android следит за мной, но с моего позволения и по моей просьбе.
0
alex32, #
habrahabr.ru/blogs/google/110299/
Нашло меня с точностью 6 метров.
Я ничего не просил…
+7
stari4ek, #
можно я и сюда картинку прикреплю. из соседнего топика про «расследование CNET»
image
+2
inheaven, #
если нажать Не принимаю телефон взрывается
–1
antivir, #
Вопрос только в том, действительно ли сбор данных не производится без галочки (всегда можно сказать, что ошиблись программисты).
Я думаю, все производители современных телефонов этим промышляют, потому как для спецслужб это лакомый кусок. Адрес Лубянки известен всем, поэтому в Гугл уже знают домашние адреса половины сотрудников ФСБ, а также адреса дач, тещей, посещаемых бань, ашанов и т.д. и т.п. :)
+2
Sap_ru, #
Обратите внимание — никто никогда нигде не заявлял, что данные собираются без галочки. зато нагнетаемся масса истерии — похоже на чёрный пиар против гугл.
0
antivir, #
Никто не заявлял, что при составлении карт гугл по факту ведет радиоразведку, пока не спалились. Компания уже подзапятналась. Если б не это, и разговоров про галочеу не было бы.
–24
ekzo, #
это одна из причин, по которой я регулярно меняю mac адресс своей точки доступа беспроводных интернетов.
+29
TheShock, #
А еще — делаете пластическую операцию и меняете паспорт?
+38
mxc, #
Да кому ты сдался, госспади
0
phillennium, #
Ну почему, заинтересовать своим местоположением окружающих несложно — набрать долгов/кредитов и не отдавать.
+5
shogunkub, #
Есть более простые и традиционные способы найти человека. Те же бабушки у подъезда… ;)
А «меняю MAC-адрес», это примерно то же, что 4096-битное шифрование в этом комиксе:
image
+3
stdob, #
А это как в бородатом анекдоте про Неуловимого Джо…
0
Gwindor, #
вот из за этого и вставляют в БД time, в качестве experation time по истечению которого обновляется кеш.
0
CLR, #
Теперь вам осталось только написать программу которая будет слать в гугл фейковые данные :)
–1
PsySonic, #
… и пушу об этом на весь хабр.
0
antivir, #
Я так думаю, что в инструкцию гражданской обороны (или как ее там сейчас) на случай войны необходимо прописать: «обязательная смена мак-адресов всех беспроводных роутеров населения» :)
0
nsiss, #
логичней сменить только один раз, но на адрес вида 01:23:45:67:89:ab и когда это сделает хотя бы сотня владельцев домашних роутеров вот тогда будет интересно понаблюдать за реакцией google :)

+16
NucleoFag, #
А мне, если честно, пофигу. Я не шпион и не штампую контрафакт или наркоту, мне не жалко, что кто-то там сверху забивает свой винт местоположениями моего универа и дома, а также метро :) Тем более, что данные вроде как анонимные.
Лучше б на основе этих данных чонить полезное сделали.
А может и делают. :)

Хотя если у меня нет паранойи, это не значит, что за мной не следят о_0
+1
TiGR, #
Так ведь и делают. Определение положения по wifi, как я понимаю, на основе этих данных и работает.
0
NucleoFag, #
Это то да, но не на основе нескольких посещенных мест :)
Тут больше статистическая ценности
0
homme, #
Есть такая компания — Skyhook. Она собирает подобные анонимные данные давным давно. И потом успешно их продает.

См. skyhookwireless.com/spotrank/index.php

The Core Engine powers the location on tens of millions of devices, including every iPhone and Dell netbook, and leading Android apps like ShopSavvy and Flixster.

В 2008 году они начали с Apple сотрудничать (см. www.skyhookwireless.com/press/skyhookapple.php)
+2
Gwindor, #
Когда это уже закончиться, если телефон не рутован, то доступа к /data/data/* имеет только то приложение которое там установлено (в данном случае /com.google.android.location/). Делаешь рут, получаешь полный доступ к системе, и соответственно установленные тобой приложение получают такой же доступ.
+2
hardex, #
Не получают
0
shogunkub, #
Все запросы root-доступа приложениями явно контролируются пользователем. Как минимум сообщение о root-доступе выводится
+6
ComodoHacker, #
Ну что я говорил. :)
Теперь еще Windows Phonе кто-нибудь распотрошите.
+16
daspisch, #
Телефон WP тоже следит за тобой, %username%
Он просто смотрит на тебя своей камерой.
И знает.
Всё.
НЛО прилетело и опубликовало эту надпись здесь
0
aleXoid, #
А отключение помогает? Как-то с трудом верится, что разработчики, да что там расследование CNEWS не знают о такой замечательной опции
НЛО прилетело и опубликовало эту надпись здесь
+1
fjugy, #
если бы расследователи CNEWS написали что проверили и так и так, и телефон все равно пишет данные. Но ни в одной статье нет такого! Выглядит все как просто желтый PR.
+1
shogunkub, #
Задолбали, право слово. В ветке по iPhone об этом говорилось. Известно, что Google собирает эти данные. Разница только в том, что iOS при сборе данных не информирует пользователя, а Android — информирует каждый раз при установке галочки «Включить использование WiFi для определения местоположения».
Параноикам рекомендуется не пользоваться и обычными мобильными телефонами(поскольку аналогичные данные собирают ОПСОСы)
+2
SO10, #
ОПСОСЫ собирают вполне конкретные данные, определенные законом. Так, в соответствии с ФЗ «О связи», Постановлением Правительства от 27.08.2005 г. № 538, в базах данных оператора СПС должна содержаться следующая информация об абонентах (которая, кстати, должна храниться у оператора связи в течение 3-х лет, с момента оказания последней услуги):
— фамилия, имя, отчество, место жительства и реквизиты основного документа, удостоверяющего личность, представленные при личном предъявлении абонентом указанного документа, — для абонента-гражданина;
— наименование (фирменное наименование) юридического лица, его место нахождения, а также список лиц, использующих оконечное оборудование юридического лица, заверенный уполномоченным представителем юридического лица, в котором указаны их фамилии, имена, отчества, места жительства и реквизиты основного документа, удостоверяющего личность, — для абонента — юридического лица;
— сведения баз данных о расчетах за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонентов.

Сбор и обработка данных о расчетах, соединениях, трафике осуществляется биллинговой системой. Все данные записываются в файлы «подробной записи о вызове» (CDR-files), которые хранят следующие данные:
— Calling number
— Called number
— Call type (Outgoing / Incoming)
— Service used (Voice/SMS/Etc.)
— Facilities used (Call waiting/Call forward/etc.)
— Call start time
— Call end time
— Duration
— Cell ID
— Outtrunk
— In trunk
— Call sequence Number
— Call terminating reason (normal/fault/busy, etc.
— SMSC centre number ( for SMS)
— IMEI number of cell phone
— IMSI (Port number)
— Switch number or ID

Формат CDR файлов определяется оператором.
Как видно, на законодательном уровне четко прописано, какие данные хранит у себя оператор СПС, и как долго он обязан их у себя хранить.

Анализ информации по данным сайтов:
www.internet-law.ru/law/inflaw/connect.htm
www.referent.ru/1/115542
telecom4u.in/home/call-detail-record-cdr-2/
ru.wikipedia.org/wiki/Call_Detail_Record
0
dime, #
Это информация, которую собирать обязан. А есть ещё та, которую не обязан, но тоже может.
+1
antivir, #
Вспоминая последние новости — наглый сбор данных о wi-fi точках при создании Google Maps, поголовный сбор информации о местоположении пользователей, а до кучи — и еще всех wi-fi сеток, которые видит телефон — в голову все чаще и чаще приходит мысли о тотальном шпионаже. Большой добрый брат.
0
antivir, #
Наткнулся на старую статью.
habrahabr.ru/blogs/htranslations/30861/
А то уже подумал, что я одинок… :)

Только зарегистрированные пользователи могут оставлять комментарии.
Войдите, пожалуйста.